新冠疫情肆虐以來,加速金融服務轉型進程,企業越發仰賴數位科技之餘,資訊安全對企業的威脅也與日俱增。為了加強管理,金管會於 7 日宣布明年首季前,符合一定條件的證券商、期貨、投信投顧與銀行業需設立「副總級」以上資安長。
銀行局副局長童政彰表示,目前國內已設立資安長的銀行有 13 家,尚有 17 家證券業與 25 家銀行還未設置,需在六個月時間內,即 2022 年第一季前完成設立。而其中有 16 家金控不需設資安長,童政彰解釋,因為金控主要業務是投資跟管理被投資公司,業務相對單純 。
為什麼 FinTech 需要設立資安長?
隨著金管會鬆綁金融法規,驅動金融數位轉型,開放金融業資料儲存到雲端服務、核發純網銀執照、開放銀行(Opening Banking),行動支付的應用與創新範圍也不斷擴大,相應而來的資安防護挑戰,就成為現下金融業者將面臨的一大挑戰。
♦ TO 推薦閱讀:【生物辨識取代密碼】向超難記銀行帳密說掰!跨金融機構身分驗證第 4 季試辦
加上疫情期間員工居家辦公,家用網路資安防護力不比公司網路,企業資安風險隱憂浮上檯面。金融業又是高度利用資訊科技的產業,營業模式也隨著電子化、數位化、大數據及人工智慧的運用而改變。
近幾年跨國貿易頻繁,資安詐騙事件也層出不窮,聯合報就指出,駭客竄改商務電子郵件、假冒成境外公司向國內企業收款或變更帳戶等詐騙事件,每年騙走台灣逾 2 億台幣。
♦ TO 推薦閱讀:半年收購 3 家 FinTech 新創,J.P. Morgan 如何佈局疫後金融新局?
為統籌金融業整體資安,金管會啟動「金融資安行動方案」計畫,以形塑金融機構重視資安的組織文化,希望藉此強化我國金融業資安防護能力,打造安全、便利、不中斷的金融服務。
大型駭客攻擊頻傳,歐美超前部署資安長
歐美許多企業早已在 2、3 年前開始增設統管企業整體安全的資安長(Chief Security Officer 或 Chief Information Security Officer)。美國紐約州金融服務署於 2017 年即發布「金融服務業網路安全要求規範(23 NYCRR Part 500)」要求金融機構應指定資安長負責執行、監督、強化新採行之計畫及政策。
歐洲銀行監理總署(EBA)也於 2019 發布「資通科技及安全風險管理指引」要求金融機構應監控資安政策與措施之落實情形,定期直接向管理部門或董事會報告,依實際需要不定期提供提供有關資通安全及金融機構風險之建議等。
這樣的國際趨勢,突顯出強化金融產業網路安全的必要性。當數位銀行服務成為新日常,金融業更須審慎面對資安風險,迎戰全新 Fintech 的營運模式。
資料來源:金管會、聯合報、Investopedia,首圖來源:ShutterStock
